如何利用PHP擴(kuò)展Taint找出網(wǎng)站的潛在安全漏洞實(shí)踐

這篇文章給大家介紹如何利用PHP擴(kuò)展Taint找出網(wǎng)站的潛在安全漏洞實(shí)踐，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

一、背景

筆者從接觸計(jì)算機(jī)后就對(duì)網(wǎng)絡(luò)安全一直比較感興趣，在做PHP開(kāi)發(fā)后對(duì)web安全一直比較關(guān)注，2016時(shí)無(wú)意中發(fā)現(xiàn)Taint這個(gè)擴(kuò)展，體驗(yàn)之后發(fā)現(xiàn)確實(shí)好用；不過(guò)當(dāng)時(shí)在查詢相關(guān)資料時(shí)候發(fā)現(xiàn)關(guān)注此擴(kuò)展的人數(shù)并不多；最近因?yàn)閾Q了臺(tái)電腦，需要再次安裝了此擴(kuò)展，發(fā)現(xiàn)這個(gè)擴(kuò)展用的人還是比較少，于是筆者將安裝的過(guò)程與測(cè)試結(jié)果記錄下來(lái)，方便后續(xù)使用同時(shí)也讓更多開(kāi)發(fā)者來(lái)了解taint

taint擴(kuò)展作者惠新宸曾經(jīng)在自己的博客上有相關(guān)介紹，參考文檔：PHP Taint – 一個(gè)用來(lái)檢測(cè)XSS/SQL/Shell注入漏洞的擴(kuò)展

二、操作概要

1. 源碼下載與編譯

2. 擴(kuò)展配置與安裝

3. 功能檢驗(yàn)與測(cè)試

三、源碼下載與編譯

Taint擴(kuò)展PHP本身并不攜帶，在linux或mac系統(tǒng)當(dāng)中筆者需要下載源碼自己去編譯安裝

3.1 源碼下載

筆者的開(kāi)發(fā)環(huán)境是mac系統(tǒng)，所以需要去PHP的pecl擴(kuò)展網(wǎng)站去下載源碼，其中taint的地址為：

https://pecl.php.net/package/taint

在擴(kuò)展網(wǎng)址的的尾部，可以看到有一排下載地址，如下圖

筆者需要選擇一個(gè)自己合適的版本，筆者的開(kāi)發(fā)環(huán)境使用的是PHP7.1，因此選擇了最新的版本，對(duì)應(yīng)下載地址如下：

https://pecl.php.net/get/taint-2.0.4.tgz

使用wget下載該源碼,參考命令如下：

wget https://pecl.php.net/get/taint-2.0.4.tgz

下載下來(lái)之后，筆者需要解壓，解壓命令參考如下：

tar -zxvf taint-2.0.4.tgz

解壓之后，進(jìn)入目錄,參考命令如下：

cd taint-2.0.4

3.2 源碼編譯

現(xiàn)在筆者需要編譯一下源碼，在編譯之前可以使用phpze來(lái)探測(cè)PHP的環(huán)境，參考命令如下：

phpize

返回結(jié)果如下

Configuring for:PHP Api Version:         20160303Zend Module Api No:      20160303Zend Extension Api No:   320160303

生成 Makefile，為下一步的編譯做準(zhǔn)備

./configure

返回結(jié)果

checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... no

creating libtool
appending configuration tag "CXX" to libtool
configure: creating ./config.status
config.status: creating config.h

開(kāi)始編譯,并安裝

make && make install

(cd .libs && rm -f taint.la && ln -s ../taint.la taint.la)
/bin/sh /Users/song/taint-2.0.4/libtool --mode=install cp ./taint.la /Users/song/taint-2.0.4/modulescp ./.libs/taint.so /Users/song/taint-2.0.4/modules/taint.so
cp ./.libs/taint.lai /Users/song/taint-2.0.4/modules/taint.la----------------------------------------------------------------------Libraries have been installed in:
   /Users/song/taint-2.0.4/modulesIf you ever happen to want to link against installed librariesin a given directory, LIBDIR, you must either use libtool, andspecify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `DYLD_LIBRARY_PATH' environment variable     during execution

See any operating system documentation about shared libraries formore information, such as the ld(1) and ld.so(8) manual pages.----------------------------------------------------------------------Build complete.
Don't forget to run 'make test'.

Installing shared extensions:     /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/

四、配置與安裝

在編譯擴(kuò)展之后，筆者還需要把Taint放到指定位置，以及修改配置文件讓其生效

4.1 配置taint

筆者首先需要知道PHP的配置文件是多少，然后通過(guò)查看配置文件的擴(kuò)展路徑，才能把so文件放到對(duì)應(yīng)里面去，查看配置文件位置命令如下：

php --ini

返回結(jié)果如下

Configuration File (php.ini) Path: /usr/local/etc/php/7.1Loaded Configuration File:         /usr/local/etc/php/7.1/php.ini
Scan for additional .ini files in: /usr/local/etc/php/7.1/conf.d
Additional .ini files parsed:      /usr/local/etc/php/7.1/conf.d/ext-opcache.ini

筆者可以看到php.ini放置在/usr/local/etc/php/7.1/php.ini當(dāng)中

知道配置文件之后，筆者需要找到擴(kuò)展文件夾位置，參考命令如下

cat /usr/local/etc/php/7.1/php.ini | grep extension_dir

命令執(zhí)行結(jié)果如下，筆者可以看出擴(kuò)展文件夾位置是 /usr/local/lib/php/pecl/20160303

extension_dir = "/usr/local/lib/php/pecl/20160303"; extension_dir = "ext"; Be sure to appropriately set the extension_dir directive.;sqlite3.extension_dir =

4.2 安裝擴(kuò)展

現(xiàn)在筆者需要把擴(kuò)展文件復(fù)制到，PHP的擴(kuò)展文件位置，參考命令如下

cp /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/taint.so /usr/local/lib/php/pecl/20160303/

復(fù)制完成之后，筆者需要編輯配置文件，將taint的配置項(xiàng)復(fù)制進(jìn)去

vim /usr/local/etc/php/7.1/php.ini

增加Tain的配置項(xiàng)到php.ini文件當(dāng)中，參考配置如下：

[taint]extension=taint.sotaint.enable=1taint.error_level=E_WARNING

4.3 安裝結(jié)果驗(yàn)證

保存配置文件并退出之后，則代表筆者的安裝已經(jīng)完成，現(xiàn)在需要重啟一下php讓其生效，參考命令如下

brew services restart php@7.1

重啟完成之后，可以通過(guò)命令查看PHP當(dāng)前的擴(kuò)展有沒(méi)有Taint，參考命令如下:

php -i | grep taint

返回結(jié)果如果出現(xiàn)了一下信息，基本上已經(jīng)安裝成功。

taint
taint support => enabled
taint.enable => On => On
taint.error_level => 2 => 2

五、功能檢驗(yàn)與測(cè)試

完成上面的兩步操作之后，筆者安裝階段已經(jīng)大功告成了，現(xiàn)在筆者需要用taint來(lái)檢驗(yàn)效果，檢驗(yàn)分為三部分，首先用taint作者的demo代碼進(jìn)行檢驗(yàn)，之后用滲透測(cè)試系統(tǒng)permeate來(lái)檢驗(yàn)，最后以筆者平時(shí)所開(kāi)發(fā)的代碼進(jìn)行測(cè)試。

5.1 demo文件測(cè)試

用demo文件測(cè)試的目的是檢驗(yàn)筆者安裝的taint是否真的已經(jīng)生效，并確認(rèn)taint有沒(méi)有意義。

5.1.1 復(fù)制demo代碼

在作者的GitHub上面有下面的這樣一份demo代碼，筆者將其復(fù)制到web目錄，位置如下：

/Users/song/mycode/safe/permeate

demo代碼內(nèi)容如下，讀者實(shí)驗(yàn)時(shí)可以將其拷貝：

<?php$a = trim($_GET['a']);$file_name = '/tmp' .  $a;$output    = "Welcome, {$a} !!!";$var       = "output";$sql       = "Select *  from " . $a;$sql      .= "ooxx";echo $output;print $$var;include($file_name);

mysql_query($sql);

5.1.2 配置虛擬主機(jī)

當(dāng)代碼文件保存之后，筆者需要在nginx配置文件中增加一個(gè)虛擬主機(jī)，用于瀏覽器訪問(wèn)此文件，參考配置如下：

    server {
        listen       80;
        server_name  test.localhost;
        root  /Users/song/mycode/safe/permeate;
        location / {
            index index.html index.htm index.php; 
        }

        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

5.1.3 瀏覽器訪問(wèn)

接著筆者通過(guò)瀏覽器訪問(wèn)對(duì)應(yīng)代碼文件，URL地址如下：

http://test.localhost/taintdemo.php?a=1

瀏覽器訪問(wèn)頁(yè)面之后，筆者能在頁(yè)面中看到一些警告信息，內(nèi)容如下：

Warning: main() [echo]: Attempt to echo a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 10Welcome, 1 !!!
Warning: main() [print]: Attempt to print a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 12Welcome, 1 !!!
Warning: main() [include]: File path contains data that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 14Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 14Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 14Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:16 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 16

從警告信息當(dāng)中可以看出，筆者的taint已經(jīng)生效，給出了很多警告提示，提示參數(shù)可能受到污染，因?yàn)閰?shù)并沒(méi)有經(jīng)過(guò)任何過(guò)濾；

5.1.4 參數(shù)過(guò)濾測(cè)試

如果不想讓taint給出警告提示，可以將demo代碼中的第二行代碼更改或增加一下過(guò)濾規(guī)則，參考代碼如下：

$a = htmlspecialchars($_GET['a']);

再次回到瀏覽器當(dāng)中，刷新當(dāng)前頁(yè)面，可以看到返回的信息已經(jīng)發(fā)生了變化，返回內(nèi)容如下

Welcome, 1 !!!Welcome, 1 !!!
Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 15Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 15Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:17 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 17

因?yàn)楣P者在代碼中增加了參數(shù)轉(zhuǎn)義，此時(shí)再次刷新瀏覽器，會(huì)看到taint不再給發(fā)出警告提醒。

5.2 滲透測(cè)試系統(tǒng)驗(yàn)證

用demo系統(tǒng)驗(yàn)證taint擴(kuò)展生效之后，現(xiàn)在筆者將用一個(gè)滲透測(cè)試系統(tǒng)來(lái)做一個(gè)實(shí)驗(yàn)，在這個(gè)系統(tǒng)中本身存在了很多安全問(wèn)題，使用taint來(lái)找出這些問(wèn)題，使用的滲透測(cè)試系統(tǒng)為 permeate滲透測(cè)試系統(tǒng),地址如下

筆者之前有寫(xiě)過(guò)一篇文章介紹此系統(tǒng)，參考文檔：WEB安全Permeate漏洞靶場(chǎng)挖掘?qū)嵺`

https://git.oschina.net/songboy/permeate

5.2.1 下載permeate

筆者通過(guò)git將其源碼下載下來(lái)，參考命令如下

https://gitee.com/songboy/permeate.git

下載下來(lái)之后，同樣創(chuàng)建一個(gè)虛擬主機(jī)，可以參考上面的nginx配置

5.2.2 導(dǎo)入數(shù)據(jù)庫(kù)

因?yàn)檫@個(gè)系統(tǒng)會(huì)用到數(shù)據(jù)庫(kù)，所以筆者下載之后需要新建數(shù)據(jù)庫(kù)給permeate使用

新建完成數(shù)據(jù)庫(kù)之后，筆者需要將一些數(shù)據(jù)表結(jié)構(gòu)以及初始化數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫(kù)當(dāng)中，在使用git下載下來(lái)之后，在其跟目錄有一個(gè)doc的文件夾，筆者打開(kāi)它之后，能看到有一個(gè)sql文件，如下圖所示

打開(kāi)此文件并將其里面的內(nèi)容復(fù)制，將復(fù)制的內(nèi)容到管理數(shù)據(jù)庫(kù)的Navicat Premium當(dāng)中，然后執(zhí)行這些SQL語(yǔ)句，如下圖所示

5.2.3 修改配置文件

導(dǎo)入數(shù)據(jù)庫(kù)完成之后，筆者修改數(shù)據(jù)庫(kù)配置文件，讓permeate能夠連接次數(shù)據(jù)庫(kù)，配置文件在根目錄 conf/dbconfig.php,里面的配置代碼如下，將其地址賬戶以及密碼和數(shù)據(jù)庫(kù)名稱一一對(duì)應(yīng)填寫(xiě)

<?php
    !defined('DB_HOST') && define('DB_HOST','127.0.0.1');
    !defined('DB_USER') && define('DB_USER','root');
    !defined('DB_PASS') && define('DB_PASS','root');
    !defined('DB_NAME') && define('DB_NAME','permeate');
    !defined('DB_CHARSET') && define('DB_CHARSET','utf8');
    $**=array('保密','男','女');
    $edu=array('保密','小學(xué)','初中','高中/中專','大專','本科','研究生','博士','博士后');
    $admins=array('普通用戶','管理員')

5.2.4 驗(yàn)證安裝結(jié)果

設(shè)置好數(shù)據(jù)庫(kù)之后，筆者安裝permeate便已經(jīng)完成了，此時(shí)打開(kāi)首頁(yè)，看到的界面應(yīng)該如下圖所示：

如果在首頁(yè)當(dāng)中沒(méi)有看到板塊以及分區(qū)等信息，很有可能是數(shù)據(jù)庫(kù)沒(méi)有連接成功或者數(shù)據(jù)庫(kù)沒(méi)有正確導(dǎo)入數(shù)據(jù)所致。

5.2.5 挖掘漏洞

下面開(kāi)始進(jìn)行測(cè)試，筆者點(diǎn)擊第一個(gè)板塊SQL注入，并點(diǎn)擊列表下發(fā)的下一頁(yè)按鈕，此時(shí)看到的頁(yè)面如下圖所示：在這個(gè)板塊列表頁(yè)中沒(méi)看到任何問(wèn)題，但是實(shí)際上taint已經(jīng)給筆者發(fā)出了警告提醒。

筆者可以通過(guò)查看源代碼時(shí)候來(lái)看到這些問(wèn)題，如下圖所示，taint提示在代碼文件 /Users/song/mycode/safe/permeate/core/common.php的50行，存在參數(shù)被污染的情況。

5.2.5 漏洞分析

筆者找到對(duì)應(yīng)的代碼位置，發(fā)現(xiàn)代碼內(nèi)容如下：

function includeAction($model, $action){
    //判斷控制器是否存在    $filePath = "./action/$model.php";
    if (is_readable($filePath)) {
        require_once $filePath;
        $class = new $model;
        if (is_callable(array($class, $action))) {
            $class->$action();
            return true;
        }
    }

在代碼中筆者看到有一個(gè)require_once函數(shù)加載了文件，里面的參數(shù)使用了變量 $model 和 $action ,通過(guò)最終變量來(lái)源，在代碼文件/Users/song/mycode/safe/permeate/home/router.php發(fā)現(xiàn)這兩個(gè)參數(shù)確實(shí)沒(méi)有經(jīng)過(guò)過(guò)濾，如下代碼所示:

<?phprequire_once "/core/common.php";$model = !empty($_GET['m']) ? $_GET['m'] : 'index';$action = !empty($_GET['a']) ? $_GET['a'] : 'index';

includeAction("$model","$action");

最后需要提醒大家，Taint在開(kāi)發(fā)環(huán)境安裝即可，不要安裝到生產(chǎn)環(huán)境當(dāng)中，否則可能會(huì)把網(wǎng)站的安全問(wèn)題直接暴露給攻擊者。

關(guān)于如何利用PHP擴(kuò)展Taint找出網(wǎng)站的潛在安全漏洞實(shí)踐就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。